<!DOCTYPE html>
<html lang="en">
<head>
  <meta charset="UTF-8">
  <title>Title</title>
  <!--

  详细
  http://www.imooc.com/article/18069

  CSP 大法
  HTTP 头中输出 CSP
  Content-Security-Policy: <policy-directive>; <policy-directive>
  配置 https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/Content-Security-Policy

  CSRF 的常规防御

  -->
</head>
<body>
<script>

  // 文本过滤大法
  var escapeHtml = function (str) {
    str.replace(/</g, '&lt;')
      .replace(/>/g, '&gt;')
      .replace(/"/g, '&quto;')
      .replace(/'/g, '&#39;');
  }

  var name = escapeHtml(`<script>alert('SB')<\/script>`);

  // 举个现实的例子
  // <img src=1 onerror=confirm("我已经入侵你的心！");prompt("呵呵!");>

</script>
</body>
</html>